Мы давно знаем, что у паролей есть свои недостатки. Будь то фишинг, метод перебора или атаки по словарю, аутентификация на основе пароля остаётся одним из самых слабых звеньев в кибербезопасности. На самом деле отчёт Verizon о расследовании утечек данных за 2025 год (https://www.verizon.com/business/resources/reports/dbir/) показывает, что в 88% случаев утечки происходили из-за использования украденных учётных данных.
Вот почему всё больше организаций внедряют аутентификацию без пароля, а ключи доступа становятся одним из главных претендентов на то, чтобы полностью заменить традиционные пароли.
FIDO Alliance (https://fidoalliance.org/celebrating-world-passkey-day-2025-showcase-of-real-world-passkey-deployments/), ключевой игрок в разработке стандартов беспарольной аутентификации, сообщает, что 54 % пользователей считают ключи доступа более удобными, чем пароли, а 53 % считают их более безопасными.
Но что такое ключи доступа? И действительно ли они так безопасны, как утверждают? Давайте выясним.
Что такое ключи доступа и как они работают?
Ключи доступа — это форма аутентификации без пароля, основанная на криптографии с открытым ключом. Вместо того чтобы полагаться на то, что вы помните (например, на пароль), вы полагаетесь на то, что у вас есть. Обычно это устройство, например телефон, ноутбук или ключ безопасности.
Вот простое объяснение того, как они работают:
- Когда вы создаёте пароль, ваше устройство генерирует пару ключей: открытый и закрытый.
- Открытый ключ хранится в сервисе, в который вы входите.
- Закрытый ключ надёжно хранится на вашем устройстве и никогда его не покидает.
- Для входа в систему ваше устройство использует закрытый ключ для подписи запроса, подтверждающего вашу личность, без раскрытия каких-либо секретов.
Действительно ли ключи доступа так сильно отличаются от паролей?
Проще говоря: да. В отличие от паролей, ключи доступа нельзя украсть в ходе фишинговых атак, использовать повторно на разных сайтах или подобрать методом перебора. Они уникальны для каждого сайта или приложения, хранятся локально на вашем устройстве и защищены локальной аутентификацией (например, биометрическими данными или PIN-кодами).
Даже если злоумышленник взломает базу данных компании, он найдёт только открытые ключи, которые бесполезны без соответствующего закрытого ключа на вашем устройстве. Это делает ключи доступа намного более безопасными, чем традиционные пароли.
Крупные компании внедряют пароли доступа
Многие организации уже переходят на беспарольную аутентификацию с помощью ключей доступа.
- Microsoft сделала большой шаг в мае 2025 года, перейдя на «отказ от паролей по умолчанию» для всех новых учётных записей. При регистрации больше не нужно вводить пароль. Вместо этого пользователи проходят аутентификацию с помощью ключей доступа, push-уведомлений или аппаратных ключей безопасности. По словам Microsoft, ежедневно регистрируется около 1 миллиона ключей доступа, при этом успешность входа составляет 98 %, в то время как для паролей этот показатель составляет всего 32 %.
- Aflac, ведущая страховая компания США, стала первым крупным страховщиком, внедрившим ключи доступа в соответствии с FIDO Alliance (https://fidoalliance.org/celebrating-world-passkey-day-2025-showcase-of-real-world-passkey-deployments/). По имеющимся данным, это привело к снижению количества запросов на восстановление паролей на 32 % и избавило службу поддержки от необходимости ежемесячно обрабатывать около 30 000 звонков, связанных с идентификацией.
Что делает ключи доступа такими привлекательными?
Есть несколько причин, по которым организации и пользователи начинают отдавать предпочтение ключам доступа, а не традиционным паролям:
- Более надёжная защита по умолчанию: ключи доступа устраняют распространённые векторы атак, такие как фишинг и подбор учётных данных. Поскольку закрытый ключ никогда не покидает устройство пользователя и его невозможно угадать, злоумышленникам нечего использовать.
- Упрощённый пользовательский интерфейс: Вход в систему с помощью пароля быстрый и простой, обычно для этого требуется только отпечаток пальца или сканирование лица. Больше не нужно запоминать длинные цепочки символов.
- Сокращение расходов на поддержку: благодаря уменьшению количества проблем, связанных с паролями, количество обращений в службу поддержки сокращается.
- Единообразный интерфейс на всех платформах: ключи доступа работают на всех устройствах и в браузерах в соответствии с отраслевыми стандартами, что позволяет пользователям безопасно проходить аутентификацию как на ноутбуке, так и на телефоне.
Ограничения, связанные с ключами доступа
Ключи доступа выглядят многообещающе, но и с ними не всё так просто. Согласно исследованию FIDO Alliance (https://fidoalliance.org/new-fido-alliance-research-shows-87-percent-us-uk-workforces-are-deploying-passkeys-for-employee-sign-ins/), основными препятствиями, о которых сообщают организации, являются сложность (43 %), стоимость (33 %) и недостаточная ясность (29 %).
Учитывая это, следует принять во внимание некоторые ограничения:
- Зависимость от устройства: Поскольку ключи доступа привязаны к устройству пользователя, восстановление доступа к учётной записи на телефоне или ноутбуке может оказаться сложной и трудоёмкой задачей.
- Сложная настройка. Для настройки системы аутентификации, совместимой с ключами доступа, необходимо внести изменения в существующую инфраструктуру, что может быть очень непросто, особенно в крупных или старых системах.
- Ограниченная совместимость с устаревшими системами: Не все сервисы и платформы пока поддерживают ключи доступа. Организациям, которые по-прежнему полагаются на устаревшее программное обеспечение или сторонние инструменты, возможно, придется использовать гибридные модели на переходном этапе, что может усложнить обеспечение безопасности.
- Первоначальные затраты: Внедрение поддержки ключей доступа, начиная с изменений в инфраструктуре и заканчивая обучением пользователей, требует затрат времени и денег, что может стать непреодолимым препятствием для некоторых организаций.
- Обучение пользователей и повышение их осведомлённости: Ключи доступа появились относительно недавно, а значит, многие пользователи не знают, как они работают. Внедрение может быть медленным и длительным процессом, требующим тщательной адаптации и коммуникации.
Смогут ли ключи доступа полностью заменить пароли?
Ключи доступа быстро набирают популярность, особенно в средах с высоким уровнем безопасности и в мобильных приложениях. Но даже это не означает, что пароли исчезнут завтра.
Существует множество сценариев, в которых использование паролей пока невозможно. Например, устаревшие системы, несовместимые с технологией паролей, или пользователи, у которых нет доступа к совместимому устройству.
На этом переходном этапе многие организации, скорее всего, будут использовать гибридные модели, в которых поощряется применение ключей доступа, но пароли по-прежнему будут использоваться в качестве важного запасного варианта. Поэтому крайне важно продолжать обеспечивать надёжную защиту паролей везде, где пароли всё ещё доступны.
Не стоит недооценивать важность безопасности паролей
Несмотря на рост популярности ключей доступа, пароли по-прежнему используются для аутентификации, и их необходимо надёжно защищать.
Политика паролей Specops помогает внедрять более строгие политики паролей, блокируя слабые и часто используемые пароли и постоянно проверяя Active Directory по базе данных, содержащей более 4 миллиардов скомпрометированных паролей.
Если вы по-прежнему полагаетесь на пароли, даже в качестве запасного варианта, убедитесь, что они не являются вашим самым слабым звеном.